随手分析 MyQQ MyQQA MyQQG 供应链投毒

发布于 2024-08-24 13:43:11 字数 1401 浏览 24 评论 0

服务器被搞,核心 DLL 被恶意修改

正常 MyQQApi.dll

被投毒后的

因为 MyQQApi 操作太简单了所以不说了
就是释放内嵌的木马 svchost.exe 到指定目录,然后启动

释放的 svchost.exe 其实是一个麦咖啡的 exe(mcinsupd.exe)来自 McAfee VirusScan Plus 产品

被改造后的 sub_40F0D3 函数被替换了一个 jmp sub_40F3FE,这个被修改成了 shellcode

首先是初始化 api,然后 socket 连接到 a2.fafafazq.com

发送 7 数据然后接收 shellcode 在分配内存执行

不过响应的太快了导致我根本就没有拿到 shellcode,到这里也就断了,微步上的流量里也没有 shellcode 部分,没啥太大可说的就这样吧!

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

关于作者

始终不够

暂无简介

0 文章
0 评论
24 人气
更多

推荐作者

隔纱相望

文章 0 评论 0

昵称有卵用

文章 0 评论 0

梨涡

文章 0 评论 0

蓝咒

文章 0 评论 0

白芷

文章 0 评论 0

樱娆

文章 0 评论 0

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文